陈永生:计算机网络犯罪对刑事诉讼的挑战与制度应对(二)
二、计算机网络犯罪对公民隐私权保护的挑战与制度应对
由于计算机网络犯罪具有高智能性、高隐蔽性以及技术发展的快速性,因而在侦查计算机网络犯罪时,相较于侦查传统犯罪,更需要采用监控、监听等技术侦查手段。并且,由于类似美国的肉食者系统、“棱镜”等监控项目能够将全国,甚至全世界所有公众的网络通讯都置于其监控之下,因而计算机网络犯罪侦查对公民隐私权的保护构成了严峻挑战。最近引起全球关注的“棱镜”事件就是这一挑战的生动例证。
(一) 技术侦查措施的类型划分
1. 根据侵犯公民隐私权程度的不同,可以分为侵犯内容信息的侦查措施和侵非内容信息的侦查措施
以美国为例,根据1986 年《电子通讯隐私法》( Electronic Communication Privacy Act of 1986) 的有关规定( 即《美国法典》第18 章第2510 条) ,所谓通讯的内容是指“任何关于某一通讯的实质( substance)、意图或者含义( meaning) 的信息”②。与之相应,所谓内容信息,就是指通讯中所说的话( spokenwords) 或者所写的信息,如通过短信( texting) 或者电子邮件所写的信息。而非内容信息,包括但不限于:拨打的电话号码、客户信息( 姓名和地址) 以及发件人和收件人的电子邮件信箱地址等。〔1〕52 内容信息和非内容信息的隐私程度是不同的,内容信息由于涉及到交流的实质内容,私密程度相对较高; 而非内容信息主要用来特定某一主体及其身份,在信息公开程度越来越高的当今社会,人们对非内容信息的隐私权期待越来越低。
根据美国相关判例和立法,对内容信息和非内容信息的保护程度是不同的。在卡茨诉美国案( Katzv.United States) 中,法院明确指出,内容信息受到《美国联邦宪法》第4 修正案的保护③。因此,要获取内容信息,必须符合非常严格的条件。例如,侦查机关要搜查包含内容信息的电子邮件,必须向法官申请搜查令状,证明存在“合理根据”( probable cause) ,并且必须根据令状确定的范围进行搜查。不仅如此,根据1986 年颁布的《电子通讯隐私法》的相关规定( 即《美国法典》第18 章第2702 条“自愿披露客户交流或记录”b 款的规定) ,电子通讯服务提供商自愿披露客户内容信息的条件非常严格。具体而言,服务提供商只有在特定的例外情况下才能自愿向政府机构披露交流的内容。例如,只有在获得交流一方同意的情况下,才可以披露交流的内容; 或者只有在法律明确要求披露的情况下才可以披露该内容④,如1998 年颁布的《保护儿童与惩罚性犯罪法》( Child Protectionand Sexual Predator Punishment Act of 1998) 要求服务提供商发现并报告儿童色情信息①。
相对于内容信息,美国相关判例和立法对非内容信息的保护要薄弱许多。例如,在美国诉福利斯特( United States v.Forrester) 案中,法院明确指出,电子邮件发件人和收件人的姓名以及IP 地址不受《美国联邦宪法》第4 修正案的保护②。这意味着,侦查机关获取非内容信息不需要满足严格的实体和程序条件。根据1986 年颁布的《电子通讯隐私法》的规定( 即《美国法典》第18 章第2702 条“自愿披露客户交流或记录”c 款) ,服务提供商可以自愿将非内容信息披露给非政府机构的任何人③。不仅如此,根据该法的规定( 即《美国法典》第18 章第2703 条“强制披露客户交流和记录”c 款第2 项) ,政府机构只要申请取得相应的传票,如根据联邦或者州法律授权的行政传票,或者联邦或州的大陪审团或者法庭的传票,就可以要求电子通讯服务提供商披露客户的姓名、住址、服务的时间长度、服务的种类等非内容信息④。
需要强调的是,非内容信息在打击计算机网络犯罪方面也具有非常重要的作用。因为根据非内容信息也可以分析出大量案件信息,如联系对象( 通过电子邮件或手机短信的收件人揭示) ,活动情况( 通过移动电话定位数据揭示) ,爱好、政治观点以及宗教信仰等。通过对这些信息进行汇总和评估,就可能获知某个个体详细的私生活信息。〔1〕52 特别值得注意的是,随着通讯科技的不断进步,非内容信息的侦查价值还在不断提升。例如,第三代移动电话可以将使用者的方位精确定位至几米之内。事实上,与全球定位系统等技术相结合的移动电话为侦查机关提供了可以“持续实时监控,观察以及追踪其使用者”的手段。〔16〕211
2. 根据获取的信息形成时间的不同,可以分为针对已经形成的犯罪信息的搜查和针对正在形成的犯罪信息的监听。
在计算机网络犯罪侦查过程中,搜查和监听是经常使用的两种侦查措施。然而,这两种措施在本质上存在很大差别。根据《布莱克法律词典》的解释,刑事程序中的搜查( search) ,是指“执法人员为了发现犯罪证据而对某个人的身体、财产或者其他该人有合理隐私权期待的处所进行的检查”。〔17〕1468 而所谓监听( wiretapping) ,是指“对私人交流进行的电子的或者机械的窃听( eavesdropping) ,这种窃听通常由执法人员根据法院的命令实施。监听由联邦法律和州法律规制”。〔17〕1738而这里的窃听是指“在未经许可的情况下秘密地听取他人之间私人交流的行为”。〔17〕588
搜查和监听在以下两个方面存在重大差别: 第一,就计算机网络犯罪而言,监听针对的是正在进行的通讯,也就是当通讯正在进行时窃听和截获通讯的内容。而搜查针对的往往是已经结束的通讯,即在通讯活动结束后对相关信息载体进行查看和检验。正如有的学者所言: “即使事先取得司法授权,对信息的获取是属于搜查还是窃听还是很难区分,因此也很难确定恰当的授权类型。此时信息是处在运动还是静止的状态就成了关键问题,因为如果处在运动中,就构成窃听; 如果是在静止的状态下,就属于搜查。”〔18〕第二,搜查一般以公开的方式实施,只有在少数例外情况下才能实施秘密搜查。例如,在德国,法院判例认为: “搜索是公开的强制处分,被搜索人有权在场,虽然在例外情况可以不让其在场,不过,搜索不应该是一种当事人根本就不可能在场之强制处分。”〔19〕而监听依其性质只能以秘密的方式实施,至少在通讯一方不知情的情况下实施。上述两点区别决定了搜查和监听可能侵犯的公民权利的类型和程度都存在很大差别。事实上,正是由于监听对公民权利造成的损害更加严重,因而西方法治发达国家将监听定位为不同于搜查的特殊侦查措施,对其适用规定了非常严格的条件和程序。例如在美国,根据《监听法》( The Wiretap Statute) 的规定( 《美国法典》第2516 条和第2518 条) ,只有当监听行为能够为证明可能判处死刑或者一年以上监禁刑的重罪提供证据时,联邦法官才能给联邦调查局或者其他联邦机构签发监听令⑤。除此之外,要想获得法官签发的监听令状,执法人员还必须证明: “有合理根据表明通过窃听行为能够获取与特定犯罪活动有关的通讯内容⑥”,并且“一般的侦查手段已经被尝试并且已经失败,或者是有合理根据表明一般的侦查手段无法成功或者过于危险”; 不仅如此,“该监控行为将会以最不可能监听到无关通讯信息的方式来实施”⑦。又如在加拿大,根据《加拿大刑事法典》第186 条第( 1) 款( b)项的规定,当侦查人员向法官申请监听命令时,只有“其他调查方法已实验过且失败、其他调查方法不可能成功或情况紧急只使用其他调查方法进行罪行调查不实际”时,法官才能依该条规定给予授权。〔20〕130
(二) 技术侦查措施的适用原则
1. 司法审查原则
由以上分析可见,西方国家对侵犯公民通讯内容信息的侦查行为,普遍奉行司法审查原则,即要求侦查机关在采用此类侦查措施以前,必须向法官提出申请,经法官审查许可才能实施。〔21〕虽然近年来,计算机网络犯罪有愈演愈烈之势,有些国家在一定程度上放松了对技术侦查措施适用条件的控制,但是总体上并没有突破司法审查这条底线。以美国为例,2001年10 月26 日,“9·11 事件”刚刚过去6 个星期,美国国会就通过了美国历史上对侦查机关授权最广泛的打击犯罪的立法———《爱国者法案》,该法案的首要宗旨在于打击和惩罚恐怖分子,同时强化执法机构的监控能力。以针对计算机网络犯罪的侦查措施为例,在《爱国者法案》通过之前,根据《电子通讯隐私法》,执法机构获取客户的历史交易记录以及IP 地址等非内容信息,必须事先获取法院的搜查令状( search warrant) 或者法院命令( court order) 。〔1〕59 然而,2001 年的《爱国者法案》对1986 年的《电子通讯隐私法》的相关内容( 《美国法典》第18 章第2703 条c 款) 进行了修正,根据修正后的法律,执法机构只要凭借传票( subpoena) 就能够获取非内容信息①。由于传票可以由行政机构签发②,因而可以认为《爱国者法案》放松了对非内容信息的司法审查的要求。但是,从总体上看,由于对获取内容信息的侦查行为,《爱国者法案》并没有做出修改,也就是说,可能严重侵犯公民基本权利的侦查措施仍然需要受到司法审查,因而司法审查原则这一底线基本没有被突破。
2. 比例原则
比例原则被誉为公法的“帝王法则”。比例原则的基本要求体现为三项子原则: 第一,适合性原则,也称合目的性原则,要求国家机关所采取的每一措施都必须以实现宪法或法律所规定的职能为目标,并且每一措施都有利于实现其法定职能和目标。第二,必要性原则,要求国家机关在实现某一职能目标时,如果必须对公民权利加以限制或剥夺,应当选择对公民权利损害最小的手段,尽可能避免对公民权利造成不必要的损害。第三,相称性原则,要求国家机关在实施任何职权行为时,其对公民权利造成的损害都不得大于该行为所能保护的国家和社会公益。
西方国家对计算机网络犯罪侦查手段的适用普遍要求必须遵循比例原则。第一,根据美国《监听法》的规定,只有在“有合理根据表明通过窃听行为能够获取与特定犯罪活动有关的通讯内容”时,才能采取监听措施,这体现了比例原则的第一项子原则适合性原则的要求。第二,根据西方国家相关立法和判例,可能获取内容信息的侦查措施比可能获取非内容信息的侦查措施的适用条件严格得多,如在美国,采用获取非内容信息的侦查措施,只需要取得传票( subpoena) ,而采用获取内容信息的侦查措施,则必须取得法官签发的令状( warrant) 。根据西方国家立法和判例,监听的适用条件比搜查严格得多,只有在“一般侦查手段已经被尝试并且已经失败,或者是有合理根据表明一般侦查手段无法成功或者过于危险”时,才能适用监听措施,这些都体现了比例原则的第二项子原则必要性原则的要求。此外,西方国家立法普遍规定,在侦查犯罪时,应当尽可能避免对公民权利造成不必要的损害。以监听为例,按照美国《监听法》的规定,监听应当以“最不可能监听到无关通讯信息的方式来实施”,这也体现了必要性原则的要求。第三,西方国家立法普遍规定,对于可能严重侵犯公民基本权利的监听行为,只能适用于严重犯罪。例如,在德国,联邦宪法法院认为,只有“对重要优越利益( 身体、生命、自由及为避免危害国家存在或人类生存之公共利益) 存有具体危害,且有相当高的可能性,该具体危害于可见未来即将发生”时,才能适用类似监听行为的“线上搜索”。〔19〕230 -244 这体现了比例原则第三项子原则相称性原则的要求。
(三) 技术侦查措施滥用的风险
1. 肉食者系统的危险
应当肯定,设置专门的计算机网络犯罪侦查部门,允许其介入甚至承担对犯罪信息的监听、监控有合理之处。然而,与传统监听、监控方式相比,其潜在的风险也非常大。以美国肉食者系统为例,肉食者系统具有每秒钟截获数十万个数据包的能力,虽然其过滤系统能够过滤掉与侦查对象无关的邮件和电子数据交换内容,但是从理论上说,安装该软件的互联网服务提供商的每位客户的电子信息都可能成为肉食者系统监控的对象。这无疑会对一般公众的通讯自由和隐私权构成严重威胁,因而肉食者系统遭到了人权团体的广泛批判。〔22〕
针对外界的批评和质疑,联邦调查局助理局长唐纳德·克尔( Donald Kerr) 做出了如下辩解: 肉食者系统很像商业嗅探器,或者互联网服务提供商每日使用的互联网诊断工具,唯一的不同之处在于,肉食者系统有能力分辨可以合法拦截的通讯和不能合法拦截的通讯。他举例论证: 如果法院令状要求只对一种形式的通讯( 例如电子邮件) 进行拦截,同时禁止对其他通讯( 如网上购物) 进行拦截,那么肉食者可以被设置为只拦截特定的嫌疑人发出或者接收的电子邮件。为了使肉食者拦截的内容符合法院令状的要求,联邦调查局为其设置了极为复杂的过滤装置,通过这一过滤装置,肉食者拦截的结果能够满足各种法院令状的要求,如拦截拨号记录器的令状( pen registercourt order,只拦截向外播出的电话号码) 、追踪/截获令状( trap &trace court order,只拦截外界拨进来的电话号码) 、监听法拦截命令( Title Ⅲ interception)。唐纳德·克尔强调,肉食者系统不搜查每一条信息的具体内容,它只收集包含了诸如“爆炸”、“毒品”等关键词的信息,并且它在收集这些信息时严格遵循法院令状设定的标准。〔23〕
联邦调查局的上述辩解似乎有一定的道理,但实际上,肉食者系统存在突破司法审查原则和比例原则这两条公民隐私权保护的底线的极大风险。如前文所述,虽然美国司法部和联邦调查局的官员都坚称肉食者系统几乎只是用于监控电子邮件的非内容信息,如电子邮件的题名、FTP 登陆数据等信息,〔7〕但是,借助Packeteer 和CoolMiner 等软件,联邦调查局特工看到的网页与使用者浏览因特网时看到的网页完全相同。也就是说,通过肉食者系统,侦查机关可以在只满足获取非内容信息的法律条件的情况下,变相获取内容信息。不仅如此,肉食者还具有实时拦截所有原始数据的能力。事实上,肉食者究竟能够拦截何种信息取决于其在互联网中安装的位置,如果将其安装于网关路由器( gateway route) 或者堡垒网络( bastionnetwork) ,那么除非预先配置其只监控特定的端口( port,如SMPT、POP、IRC 等端口) ,肉食者仍将实时拦截所有原始数据。也就是说,肉食者与所有嗅探器一样,能够实时收集所有与网络协议相关的信息。〔24〕由于肉食者具备这一能力,因而其很容易被用作变相监听的工具。这样一来,针对一个相对较轻的犯罪行为,侦查机关可以以监控非内容信息为由,轻易地获取有关机关签发的令状,然后借助肉食者系统,监控相对人的通讯内容,导致立法设置的监听通讯内容的严格条件和程序被架空,这显然突破了比例原则和司法审查原则的要求。
对这一点,美国学者理查德·富尔诺( RichardF.Forno) 进行了精辟的分析。他指出,在传统的侦查模式下,向法院申请拦截拨号记录器( pen register) 和追踪命令( trap &trace) 的令状与申请拦截内容( interceptedcontent) 的监听命令( wiretap order) 的证明标准是不同的: 由于拦截拨号记录器和追踪命令只是获取拨入某个特定号码或者由某个特定号码拨出的电话号码,都属于非内容信息,对公民的隐私权影响不大,因而申请令状时的证明标准较低; 而申请监听令状则有所不同,“在传统监控模式下,警方要想监听通讯的具体内容,仅仅依靠拦截拨号记录器的令状和追踪命令是不够的,其必须获取一个独立的监听令状”。不仅如此,在传统监控模式之下,在执行监听令状时,必须有一个监督者( 特工人员) 确保监听内容仅限于法院令状涉及的特定人员之间的通讯①。然而,肉食者的出现却使这一切受到了挑战,肉食者不仅能够储存邮件题名以及邮件地址等非内容信息,而且在其他软件的配合之下,还可以将HTTP 流量还原成连贯的网页,使得FBI 特工看到的网页与使用者浏览因特网时看到的网页完全相同。这意味着,FBI仅仅借助一个证明标准较低的令状就能够获取必须藉由证明标准较高的监听令状方可获取的信息。不仅如此,肉食者“如同其名字一样,对其监控的信息照单全收,不受人工的干预和监督”,这无疑大大弱化了对监听通讯进行监督和审查的力度。“传统上,拦截内容的窃听行为与拦截拨号记录器以及追踪行为在实施之前的审查程序和审查标准是不同的,其目的是为了在拦截嫌疑人的信息时能够实现两个环节的审查方案( two -key solution) 。与只进行单一环节的审查方案( single source solution) 相比,这种方式有助于降低执法部门滥用窃听权力的风险。然而,肉食者恰恰给联邦调查局提供了仅仅通过一个步骤就可以完全获取嫌疑人因特网通讯内容的方法。肉食者是一个点击系统( point -and -click system) ,因而很容易使用也很容易重新配置。”〔24〕
(本文转自中国知网http://www.cnki.net/)